據(jù)BleepingComputer消息，網(wǎng)絡(luò)安全廠商Fortinet產(chǎn)品中的VPN 服務(wù)器存在一個設(shè)計漏洞，其日志記錄機制能夠隱藏成功實施暴力攻擊的行為記錄，無法讓防御者察覺到系統(tǒng)可能已被入侵。

FortiClient 終端防御軟件的VPN 服務(wù)器使用兩步過程存儲登錄活動，該過程包括身份驗證和授權(quán)階段。只有當(dāng)該過程同時通過身份驗證和授權(quán)步驟時，才會記錄成功登錄；否則會記錄驗證失敗。

自動化安全驗證解決方案公司 Pentera 的研究人員發(fā)現(xiàn)，通過一種設(shè)計，在驗證階段后停止整個登錄過程，從而在不記錄成功登錄的情況下驗證 VPN 憑證。

研究人員使用 Burp 應(yīng)用程序安全測試工具來記錄客戶端和 VPN 服務(wù)器之間的交互，他們注意到，初始 HTTPS 請求的響應(yīng)會顯示有效憑證、驗證失敗或在連續(xù)多次嘗試失敗時顯示 "發(fā)生錯誤 "的響應(yīng)。如果該過程在身份驗證階段后停止，則 VPN 服務(wù)器僅記錄失敗的嘗試，而不記錄成功的嘗試，因為它沒有繼續(xù)執(zhí)行下一個授權(quán)步驟。

因此，防御者無法確定此類攻擊中的暴力嘗試是否成功，并且只能看到失敗進(jìn)程的日志。尤其是當(dāng)攻擊者成功驗證憑證后，防御者將無法察覺這些惡意活動。

值得注意的是，即使威脅行為者確定了正確的登錄設(shè)置并將其用于攻擊，授權(quán)過程也只有在 FortiClient VPN 發(fā)送兩個 API 調(diào)用以驗證設(shè)備的安全合規(guī)性和用戶的訪問級別后才會完成。 此驗證使實施攻擊變得復(fù)雜，但資源充足的攻擊者仍然可以使用 Pentera 的研究方法成功入侵目標(biāo)網(wǎng)絡(luò)。

Pentera 與 Fortinet 分享了這項研究，但對方不認(rèn)為該問題是個漏洞。目前尚不清楚 Fortinet 是否會解決這個問題。事后，Pentera 發(fā)布了一個腳本，能利用此設(shè)計缺陷來驗證 Fortinet VPN 憑證。